漏洞概要
关注数(24)
关注此漏洞
漏洞标题:四川省达州市某政府网站SQL注射(居民姓名+身份证+电话+住址+单位泄漏)
提交时间:2014-08-25 19:01
修复时间:2014-10-09 19:02
公开时间:2014-10-09 19:02
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-08-25: 细节已通知厂商并且等待厂商处理中
2014-08-30: 厂商已经确认,细节仅向厂商公开
2014-09-09: 细节向核心白帽子及相关领域专家公开
2014-09-19: 细节向普通白帽子公开
2014-09-29: 细节向实习白帽子公开
2014-10-09: 细节向公众公开
简要描述:
四川省达州市某政府网站SQL注射,可后台,2W居民姓名+身份证+电话+住址+单位泄漏
详细说明:
只做了一般性的测试,没有进一步的行为!
注入点(搜索型注入):http://www.dzhm.org.cn/newssearch.php?KeyWord=11
1,该站的数据库:
2,dzshmbfzx中的表:
3,tadmin中的管理员用户名及密码
MD5解密后可以得到各个管理员的密码,其中一个超级管理员的帐号为:wenbin 密码为:wenbin123,测试可以登录后台:www.dzhm.org.cn/admin/login.php
4,进入后台以后,发现有上传点,及近2W居民信息,包括姓名,身份证号码,电话,家庭住址,工作单位等
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2014-08-30 12:29
厂商回复:
最新状态:
暂无
漏洞评价:
评论